Mobile VPN
Ein Mobile Virtual Private Network (Mobile VPN oder mVPN) stellt mobilen Geräten wie Smartphones, Notebooks, Netbooks und PDAs eine unterbrechungsfreie Verbindung für den Zugriff auf Anwendungen und Daten zur Verfügung, wenn sie über drahtlose oder kabelgebundene Netzwerke verbunden sind. Entwickelt für heutige drahtlose und mobile Computerumgebungen ermöglichen Mobile VPNs das einfache Roaming zwischen kabelgebundenen und drahtlosen Netzen und zwar sowohl lokalen WLANs als auch überregionalen öffentlichen Netzen.
Mobile VPNs werden in Umgebungen eingesetzt, in denen Anwender kontinuierlich Verbindungen aufrechterhalten müssen, während sie über drahtlose Verbindungen mit den Datenquellen verbunden sind, oder wenn sie die Verbindungen immer wieder abbrechen und neu aufbauen, um die Batterien ihrer Geräte zu schonen, der Verbindungsaufbau aber reibungslos funktionieren muss. Konventionelle VPNs, die für die Dauer der Verbindung auf eine feste IP-Adresse angewiesen sind, können diese Anforderungen nicht erfüllen und beispielsweise die Verbindung verlieren und dadurch auch zum Absturz gerade verwendeter Anwendungen führen.[1] Mobile VPNs werden üblicherweise im Bereich öffentliche Sicherheit, in Krankenhäusern, bei der Betreuung zu Hause, im Außendienst sowie bei mobilen Anwendern eingesetzt, die auf eine unterbrechungsfreie Verbindung angewiesen sind.[2]
Vergleich mit anderen VPNs
BearbeitenEin VPN kann einen authentifizierten verschlüsselten Tunnel für eine sichere Datenübermittlung durch öffentliche Netze hindurch zur Verfügung stellen (typischerweise über das Internet), um einen Client an ein entferntes Netz zu binden oder wenigstens einen gesicherten Zugriff des Clients auf eine Unternehmensanwendung zu ermöglichen.
Andere (nicht mobile) VPNs, wie IPsec-VPNs, gehen davon aus, dass die Endpunkte der Verbindung bekannt sind und während der Datenübertragung nicht verändert werden; SSL-VPNs bieten den sicheren Zugriff eines mobile Clients über einen Web-Browser, setzen aber ebenfalls voraus, dass sich der Standort während der Verbindung nicht verändert.[3]
In einer mobilen Umgebung aber verändert sich der Standpunkt des Clients ständig, etwa wenn sich ein Anwender im Zug, im Auto oder in einem größeren Gebäudekomplex zwischen verschiedenen Netzzellen oder gar zwischen verschiedenen öffentlichen Netzen bewegt. Ein mobile VPN stellt eine virtuelle Verbindung zu den Datenquellen her, die auch dann aufrechterhalten wird, wenn sich der Endpunkt verändert. Die notwendigen Einwahlen in die verschiedenen Netze werden für den Anwender unsichtbar im Hintergrund durchgeführt.
Die Technik von Mobile VPN
BearbeitenMobile VPNs vermeiden die Probleme kabelgebundener VPNs bei der Nutzung von mobilen Geräten. Technisch wird dies ermöglicht, indem zwischen Anwendungsserver und Client ein spezieller Kommunikationsserver geschaltet wird. Dieser übernimmt die Kommunikation mit dem Anwendungsserver und hält die Verbindung auch dann aufrecht, wenn der Client durch ein Funkloch oder einen Wechsel in ein anderes Netz die Verbindung verliert. Während kabelgebundene VPNs mit der vom Provider zugewiesenen IP-Adresse arbeiten, nutzen Mobile VPNs eine logische IP-Adresse, die fest mit dem mobilen Endgerät verbunden ist. Der Client kommuniziert nicht mehr mit den Anwendungsserver, sondern mit dem Kommunikationsserver. Hat das Endgerät wieder eine stabile Netzverbindung, nimmt der Kommunikationsserver die Verbindung wieder auf. Weder der Anwender noch die Anwendung merken im besten Fall etwas von der Unterbrechung. Das erleichtert für das Endgerät die Wahl der optimalen Verbindung. Was, je nach Anforderung, die schnellste oder die kostengünstigste Verbindung sein kann. Weder der Anwender noch die aktuelle Verbindung werden davon beeinträchtigt.
Mobile-VPN-Server
BearbeitenDer Mobile-VPN-Server fungiert als Transportschicht-Proxy für alle mobilen Geräte, auf denen der Mobile-VPN-Client ausgeführt wird. Der Server verwaltet den Zustand aller Clients und ist für die komplexe Sitzungsverwaltung zuständig, die zur Aufrechterhaltung kontinuierlicher Verbindungen zu Systemen erforderlich ist, die Netzwerkanwendungen hosten. Wenn ein mobiles Gerät unerreichbar wird, sich im Ruhezustand befindet oder zu einem anderen Netzwerk wechselt, erhält der Mobile-VPN-Server die Verbindung zu den Peer-Anwendungen des Clients aufrecht, indem er den Empfang von Daten quittiert und Anfragen in die Warteschlange aufnimmt. Der Mobile-VPN-Server verwaltet darüber hinaus die Netzwerkadressen mobiler Geräte. Jeder Mobile-VPN-Client erhält eine virtuelle IP-Adresse im verkabelten Netz. Diese wird in der Regel mittels DHCP vergeben oder aus einem Adressenbereich zugewiesen, der zu diesem Zweck auf dem Mobile VPN-Server reserviert ist. Der Mobile VPN-Server unterstützt darüber hinaus die statische Zuweisung virtueller IP-Adressen an einzelne Geräte oder Benutzer. Mehrere Server können als Server-Pool fungieren und bieten damit Failover und Lastverteilung.
Mobile-VPN-Clientsoftware
BearbeitenDie Mobile-VPN-Clientsoftware ist bei unterstützen Microsoft-Plattformen auf der TDI-Schicht (Transport Driver Interface) angesiedelt und kümmert sich um die Ein- und Umleitung von Anwendungsnetzwerkaufrufen. Wenn eine Anwendung das Netzwerk verwenden möchte, werden die TDI-Aufrufe abgefangen, die Parameter werden aufgestellt und der Aufruf wird zur Ausführung an den Mobile-VPN-Server weitergeleitet. Dieser arbeitet transparent mit Betriebssystemfunktionen, damit die clientseitige Anwendungssitzung aktiv bleiben kann, wenn das Gerät den Kontakt mit dem Netzwerk verliert.
Art der Verbindung
BearbeitenDas Remote-Procedure-Call-Protokoll (RPC) und das Internet-Mobility-Protokoll (IMP) bilden das technologische Rückgrat, das den Mobile-VPN-Server mit den einzelnen mobilen Geräten verbindet. Ein Remote Procedure Call ist eine Möglichkeit, mit der ein Prozess auf einem lokalen System eine Prozedur auf einem entfernten System aufrufen kann. Dabei werden die Netzwerkaufrufe des Clients zur entfernten Ausführung an den Server gesendet.
Würde der Mobile VPN Server auf der Winsock-Schicht betrieben, wären dies Aufrufe wie „open socket“, „bind“, „connect“, „send“ und „receive“. Da er jedoch auf der TDI-Schicht arbeitet, werden die entsprechenden TDI-Aufrufe zur entfernten Ausführung an den Server weitergeleitet. Die Anwendung auf dem lokalen System weiß nicht, dass der Procedure Call auf einem entfernten System ausgeführt wird. Der Vorteil des RPC-Ansatzes liegt darin, dass das mobile Gerät außer Reichweite geraten oder den Betrieb unterbrechen kann, ohne die aktive Netzwerksitzung zu verlieren. Da diese Art der Aufrechterhaltung von Sitzungen keine anwenderspezifischen Einstellungen und keine Umprogrammierung von Anwendungen erfordert, laufen handelsübliche Anwendungen unverändert in der drahtlosen Umgebung. Das RPC-Protokoll wird im Internet-Mobility-Protokoll (IMP) verkapselt, das wiederum im UDP verkapselt wird.
Das Internet-Mobility-Protokoll kompensiert die Unterschiede zwischen verkabelten und weniger zuverlässigen Netzwerken durch die Anpassung der Framegrößen und des Protokoll-Timings, um den Netzwerkverkehr zu verringern. Dies wird dann wichtig, wenn eine begrenzte Bandbreite zur Verfügung steht, hohe Latenzzeiten gegeben sind oder der Akkumulator des Mobilgeräts geschont werden soll. Der Mobile-VPN-Server verbessert darüber hinaus die Datensicherheit, indem es den gesamten Datenverkehr zwischen dem Server und Client verschlüsselt und nur authentifizierten Geräten gestattet, eine Verbindung zum Mobile-VPN-Server herzustellen.
Typische Anwendungen für Mobile VPNs
BearbeitenMobile VPNs kommen heute überall dort zum Einsatz, wo mobile Anwender auf eine unterbrechungsfreie Datenverbindung angewiesen sind. Typische Einsatzszenarios sind Rettungs- und Sicherheitskräfte wie Feuerwehr und Polizei, medizinisches Personal, das sich in großen Gebäudekomplexen mit mehreren Netzwerken bewegt, mobile Pflegekräfte, mobiler Kundendienst und Wartungskräfte sowie Anwender, die viel unterwegs sind und beispielsweise im Zug eine unterbrechungsfreie Verbindung zum Firmennetz nutzen wollen.
Mobile VPNs in der Praxis
BearbeitenNeben der unterbrechungsfreien Datenübertragung bieten Mobile VPNs weitere Vorteile. Durch den zwischengeschalteten Kommunikationsserver unterstützen Mobile VPNs den Zugriff auf jede Anwendung, die in einer kabelgebundenen Umgebung läuft. Dazu gehören vor allem Mainframe-Anbindungen, die eine unterbrechungsfreie Sitzung voraussetzen. Dank Mobile VPN können diese Anwendungen ohne Software-Änderung für den mobilen Einsatz genutzt werden. Durch die ausfallsicherere Datenverbindung ist es möglich, kritische Daten bevorzugt auf den Servern zu speichern. Sicherheitsrisiken durch gestohlen oder verlorene mobile Endgeräte werden damit vermieden. Einige Mobile VPNs unterstützen Daten- und Grafik-Komprimierung und können wahlweise so konfiguriert werden, dass sie automatisch die jeweils schnellste oder kostengünstigste Verbindung auswählen. Je nach Hersteller bieten Mobile VPNs auf mobilen Endgeräten den gleichen Funktionsumfang wie auf Notebooks.
Mobile-VPN-Funktionen
BearbeitenDiese Funktionen besitzen alle Mobile VPNs:[4]
Funktion | Beschreibung |
---|---|
Persistenz | Geöffnete Anwendungen bleiben aktiv, offen und verfügbar wenn die drahtlose Verbindung wechselt oder unterbrochen ist, ein Laptop in den Ruhezustand wechselt oder der Anwender eines PDAs das Gerät neu startet |
Roaming | Die Verbindung bleibt bestehen, wenn das Gerät in ein anderes Netz wechselt, das Mobile VPN führt das Login automatisch durch |
Anwendungskompatibilität | Programme, die in einem kabelgebundenen Netz mit permanenter Netzverbindung laufen, laufen ohne Modifikationen im Mobile VPN |
Sicherheit | Setzt die Authentifizierung des Anwenders, des Gerätes oder von beiden voraus, die Daten werden nach Standards wie FIPS 140-2 verschlüsselt |
Beschleunigte Datenübertragung | Datenkompression verbessert den Datendurchsatz in drahtlosen Netzwerken, speziell in öffentlichen Netzen, in denen die Bandbreite limitiert sein kann. |
Starke Authentifizierung | Erfordert eine Kombination aus zwei oder mehr Authentifizierungsverfahren wie Passwort, SmartCard, zertifiziertem Schlüssel oder biometrischer Erkennung |
Mobile VPN Management
BearbeitenViele Mobile VPNs verfügen über zusätzliche Management- und Sicherheitsfunktionen, die den IT-Abteilungen mehr Transparenz und Kontrolle über mobile Devices geben.
Funktion | Beschreibung |
---|---|
Managementkonsole / Mobile Analytics | Zeigt den Status und Nutzung von mobilen Geräten und Anwendern und ermöglicht die Sperrung, wenn ein Gerät verloren oder gestohlen wurde |
Policy Management | Ermöglicht die Eingabe von Richtlinien für das aktuelle Netzwerk, die Bandbreite der Verbindung, die Kontrollmöglichkeiten einzelner Anwendungen und die Konfiguration weiterer Komponenten |
QoS | Legt die Prioritäten fest, wie die Bandbreite für unterschiedliche Anwendungen oder Dienste zugeteilt wird. Dadurch wird sichergestellt, dass bestimmte Anwendungen höhere Priorität erhalten |
Network Access Control (NAC) | Ermittelt die „Gesundheit“ des Gerätes, wie den Status der aktuellen Updates, Schutz durch Antiviren- und Anti-Spyware-Programme und stellt die Verbindung erst her, wenn die vorgegebenen Sicherheitsrichtlinien erfüllt sind |
Benachrichtigungen | Informiert Administratoren via SMTP, SNMP oder syslog über Sicherheits- oder Verbindungsprobleme |
Mobile VPN Einsatzgebiete
BearbeitenMobile VPNs kommen heute in einer Vielzahl von Branchen zum Einsatz, in denen Mitarbeiter einen mobilen Zugriff auf Anwendungen benötigen.[5]
Bereich | Anwender | Anwendungen |
---|---|---|
Öffentliche Sicherheit | Polizei, Feuerwehr, Rettungsdienste | Computer-unterstützte Einsatzsteuerung, automatische Standortbestimmung des Fahrzeugs, Führerschein- und Fahrzeugkennzeichen-Datenbanken, Strafregister oder Zugriff zum Intranet |
Heimbetreuung | Mitarbeiter von Betreuungsdiensten, Ärzte auf Hausbesuch | Elektronische Patientenakten, Einsatzplanung und Abrechnung |
Krankenhäuser und Kliniken | Ärzte, Krankenpfleger und andere Mitarbeiter | Elektronische Patientenakten, Digitale Bildverarbeitung, Patientenaufnahme, Einsatzplanung |
Außendienst | Service-Mitarbeiter, Vertriebsmitarbeiten, Installations- und Reparatur-Techniker, Ingenieure im Außendienst | Einsatzplanung, Kundenverwaltung, Auftragsabwicklung, Ersatzteilbestellung, Dokumentation, Terminplanung, Wartungs-Überwachung, Ersatzteilbestellung, Kundenservice, Prüf- und Trainings-Anwendungen |
Einzelnachweise
Bearbeiten- ↑ Lisa Phifer: Mobile VPN: Closing the Gap. SearchMobileComputing.com, 16. Juli 2006.
- ↑ Archivierte Kopie ( des vom 13. Dezember 2011 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ Archivierte Kopie ( des vom 6. August 2010 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ http://www.columbitech.com, http://www.netmotionwireless.com, http://www.radio-ip.com
- ↑ Archivierte Kopie ( des vom 31. März 2012 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.